Salta al contenuto

Gestione Diritti Interessati GDPR​


PERCHÉ UNA POLICY DI GESTIONE DELLE RICHIESTE DI ESERCIZIO DEI DIRITTI DEGLI INTERESSATI?

Il presente documento disciplina la procedura con la quale Bombonette S.p.A., in qualità di Titolare del trattamento, gestisce le richieste di esercizio dei diritti presentate dagli interessati.

Ciò al fine di efficientare le varie fasi di tale procedura, così da rendere più agevole la tenuta della documentazione necessaria a dimostrare l’adempimento degli obblighi imposti al Titolare del trattamento dall’art. 5 GDPR (principio di accountability). 

Inoltre, il Titolare del trattamento ha nominato un Data Protection Officer ai sensi dell’art 37 GDPR, contattabile all’indirizzo legal@lawfirmstudio.it 


COS’È IL GDPR?

Il regolamento UE n. 2016/679, detto anche GDPR, è il regolamento vigente nei Paesi dell’Unione Europea in materia di protezione dei dati personali. L’obiettivo del GDPR è semplificare, armonizzare e unificare il contesto normativo sulla privacy per garantire la libera circolazione dei dati personali tra Stati membri. 


DEFINIZIONI


Dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato). Si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

Limitazione di trattamento: il contrassegno dei dati personali conservati con l’obiettivo di limitarne il trattamento in futuro.

Profilazione: qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.

Pseudonimizzazione: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile.

Archivio: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico.

Titolare del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri.

Responsabile del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

Destinatario: la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento.

Terzo: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile.

Consenso dell’interessato: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.

Violazione dei dati personali: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Dati biometrici: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici.

Dati relativi alla salute: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.

Autorità di controllo: l’autorità pubblica indipendente istituita da uno Stato membro ai sensi dell’articolo 51.


PRINCIPI APPLICABILI AL TRATTAMENTO DI DATI PERSONALI

Ai sensi dell’art. 5 GDPR, i dati personali devono essere:

  • trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (liceità, correttezza e trasparenza);
  • raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali (limitazione della finalità);
  • adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (minimizzazione dei dati);
  • esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati (esattezza);
  • conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato (limitazione della conservazione);
  • trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (integrità e riservatezza).

Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo (responsabilizzazione).


DIRITTI DEGLI INTERESSATI

Gli interessati sono possono esercitare i seguenti diritti: 

  • Diritto di accesso (art. 15 Reg. UE 2016/679):
    • Conferma dell’esistenza di un trattamento di dati personali che lo riguardano
    • Accesso ai propri dati personali
    • Informazioni su:
      • Finalità del trattamento
      • Categorie di dati personali trattati
      • Destinatari o categorie di destinatari a cui i dati sono stati o saranno comunicati
  • Diritto di rettifica (art. 16 Reg. UE 2016/679):
    • Rettifica dei dati personali inesatti
    • Integrazione dei dati personali incompleti
  • Diritto alla cancellazione (diritto all’oblio) (art. 17 Reg. UE 2016/679):
    Cancellazione dei dati personali senza ingiustificato ritardo
  • Diritto alla limitazione del trattamento (art. 18 Reg. UE 2016/679):
    • Contestazione dell’esattezza dei dati (limitazione temporanea)
    • Trattamento illecito con opposizione alla cancellazione
    • Conservazione necessaria per fini giudiziari
    • Opposizione al trattamento in attesa di verifica ai sensi dell’art. 21 par. 1
  • Diritto alla portabilità dei dati (art. 20 Reg. UE 2016/679):
    • Ricezione dei dati in formato strutturato, di uso comune e leggibile da dispositivo automatico
    • Trasmissione dei dati a un altro titolare del trattamento senza impedimenti
  • Diritto di opposizione (art. 21 Reg. UE 2016/679):
    • Opposizione, in qualsiasi momento e per motivi legati alla situazione personale, al trattamento dei dati
    • Opposizione alla profilazione

Le suddette richieste potranno essere rivolte al Titolare del trattamento.


DEROGHE

Ai sensi dell’art. 23 GDPR, il diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o il responsabile del trattamento può limitare, mediante misure legislative, la portata dei diritti dell’interessato qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata per la salvaguardia di beni di primaria rilevanza tra i quali, a titolo esemplificativo, la sicurezza pubblica, la difesa e la sicurezza nazionale.


MODALITÀ DI ESERCIZIO DEI DIRITTI

L’interessato potrà in qualsiasi momento esercitare i propri diritti inviando:

–           una PEC all’indirizzo bombonette@legalmail.it;

–           una raccomandata a/r a Bombonette S.p.A., Galleria Cavour 4, 40124 Bologna (BO).

–           una PEC al DPO, all’indirizzo legal@lawfirmstudio.it 

Inoltre, nel caso in cui si ritenga che il trattamento sia stato svolto in violazione della normativa sulla protezione dei dati personali, è riconosciuto il diritto di presentare reclamo all’Autorità Garante per la protezione dei dati personali, con sede in Piazza Venezia n. 11, 00187 Roma.

La richiesta dovrà essere corredata, a pena di irricevibilità, della copia del documento di identità dell’interessato. 

È messo a disposizione dell’interessato un modello di richiesta, sub allegato A.


Fase 1 – Gestione della richiesta (protocollazione e valutazione)

Ogni richiesta pervenuta al Titolare del trattamento sarà protocollata secondo le procedure internamente adottate dall’Istituto. 

In seguito all’evasione o al rigetto dell’istanza, l’incaricato alla protocollazione dovrà aggiornare l’elenco delle richieste annotandone l’esito.

Ogni richiesta pervenuta al DPO sarà trasmessa al Titolare del trattamento, che provvederà a inserirla nell’apposito elenco con la specificazione che la richiesta è pervenuta al DPO.

Una volta ricevuta la richiesta, il personale addetto dovrà valutarne la ricevibilità. In particolare, la richiesta potrà essere giudicata:

  • ricevibile, quando sia possibile procedere all’evasione della stessa in quanto le informazioni richieste sono legittime, la documentazione a supporto è completa e il soggetto è puntualmente identificato;
  • ricevibile con integrazione, quando le informazioni e/o la documentazione a supporto dell’istanza siano incomplete e sia necessaria la richiesta di chiarimenti;
  • irricevibile, quando la stessa non possegga i requisiti minimi per essere considerata legittima.

Fase 2 – Riscontro

In caso di richiesta ricevibile, la stessa sarà evasa nelle stesse modalità adottate dall’interessato o tramite diversa modalità se specificato nella richiesta, entro e non oltre 14 giorni. In caso di operazioni di particolare complessità o per altro giustificato motivo, il Titolare ne dà comunicazione all’interessato, provvedendo comunque nel minor tempo possibile.

In caso di richiesta ricevibile con integrazione, sarà cura del personale dell’Istituto richiedere all’interessato le informazioni e/o i documenti mancanti. 

In caso di richiesta irricevibile, sarà cura del personale darne comunicazione all’istante.


Fase 3 – Registrazione

Ai fini di una corretta gestione delle istanze pervenute, sarà tenuto un registro delle richieste degli interessati, che andrà aggiornato al ricevimento di ogni nuova domanda e debitamente completato con i dettagli necessari all’esito di ogni procedimento.


Costi

L’esercizio dei diritti da parte dell’interessato è generalmente gratuito. 

È facoltà del Titolare del trattamento richiedere un contributo spese, così come stabilito dal Garante per la Protezione dei dati personali con delibera n. 14 di data 23/12/2004, pubblicata in Gazzetta Ufficiale n. 55 del 8 marzo 2005.

In particolare, può essere richiesto un contributo spese per le istanze nelle seguenti situazioni: richiesta di ottenere conferma dell´esistenza di dati personali; richiesta di ottenere la comunicazione dei dati in forma intelligibile; richiesta di ottenere l´indicazione dell´origine dei dati; richiesta di conoscere le finalità del trattamento; richiesta di conoscere le modalità del trattamento; richiesta di conoscere la logica applicata al trattamento effettuato con l´ausilio di strumenti elettronici.

La predetta deliberazione esplicitamente prevede che, in riferimento ai casi in cui non può ritenersi confermata l’esistenza dei dati, il contributo spese non può eccedere i costi effettivamente sopportati per la ricerca effettuata nel caso specifico e, in ogni caso, l’importo massimo che può essere richiesto è determinato dal Garante nella misura di euro dieci. 

Con riferimento al medesimo caso in cui non risulti confermata l’esistenza dei dati, lo stesso contributo è individuato forfettariamente in misura pari a euro 2,50, in relazione al caso in cui i dati siano trattati con strumenti elettronici e la risposta (negativa) sia fornita oralmente.

Il contributo spese di cui alla presente ipotesi non può essere chiesto quando i dati, cancellati o comunque non reperibili, risultano essere stati comunque trattati in precedenza.

Nei casi in cui, a seguito di una richiesta dell’interessato, risulti invece confermata l’esistenza di dati che lo riguardano, l’esercizio del diritto è gratuito, ma può essere chiesto un contributo spese in presenza di una richiesta di riprodurre uno speciale supporto su cui i dati personali figurano.

Sulla base di una valutazione ponderata delle principali situazioni verificabili, e della circostanza che si tratta anche in questo caso di un contributo, va ritenuta congruo l’importo massimo di euro venti.

Per una più puntuale esposizione delle casistiche appena riportate, si invita l’utente a consultare la Deliberazione n. 14 del 23 dicembre 2004, disponibile al seguente link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1104892.


A QUALI TIPI DI DATI SI RIFERISCE LA PRESENTE PROCEDURA?

  • Dati personali trattati “da” e “per conto” del Titolare del trattamento, in qualsiasi formato (inclusi documenti cartacei) e con qualsiasi mezzo;
  • dati personali conservati o trattati a mezzo di qualsiasi altro sistema in uso in azienda.

A CHI È RIVOLTA QUESTA PROCEDURA?

È rivolta a tutti i soggetti che a qualsiasi titolo trattano dati personali di competenza del Titolare del trattamento quali:

  • i lavoratori dipendenti a tale scopo specificamente designati che abbiano accesso ai dati personali trattati nel corso delle prestazioni richieste per conto del Titolare del trattamento e siano stati incaricati di gestire le richieste di esercizio dei diritti da parte degli interessati;
  • qualsiasi soggetto (persona fisica o persona giuridica) diverso dal Destinatario interno che, in ragione del rapporto contrattuale in essere con il Titolare del trattamento abbia accesso ai suddetti dati e agisca in qualità di Responsabile del trattamento (art. 28 GDPR) o di autonomo Titolare;

Il rispetto della presente procedura è obbligatorio per tutti i soggetti coinvolti e la mancata conformità alle regole di comportamento previste dalla stessa potrà comportare provvedimenti disciplinari a carico dei dipendenti inadempienti ovvero la risoluzione dei contratti in essere con terze parti inadempienti, secondo le normative vigenti in materia.


Scarica il MODELLO esercizio diritti in materia di protezione dei dati personali (pdf)

Newsletter

Inserisci qui la tua mail per rimanere sempre informato sulle novità ed offerte Bombonette!

    Torna su